Особенности работы с персональными данными в среднем профессиональном образовании в соответствии с изменениями законодательства РФ в области персональных данных
Небольшая разминка
Из районного отдела полиции в
колледж поступил запрос:
Предоставить характеристику на
Преподавателя Петрова Ивана Ивановича, с целью
рассмотрения материалов для его поступления на
службу в органы внутренних дел.
Как Вы поступите:
1.Вы подготовите и направите характеристику в районный отдел полиции ?
2.Вы подготовите и направите характеристику,
предварительно получив согласие Петрова И.И. ?
«День знаний»
Фотография на главной странице сайта школы 1 сентября 2018г.
Директор училища получила запрос из районной избирательной комиссии предоставить им список работников, с указанием ФИО, адреса, № телефона:
Директор:
а) обязана предоставить данный список?
б) отправит данный список только после получения письменного согласия работников училища.
После обращения гражданина А. в Управление Роскомнадзора с жалобой на школу №1
УПРАВЛЕНИЕ РОСКОМНАДЗОРА:
а) имеет право запрашивать у школы «Частную модель угроз безопасности персональных данных информационной системы персональных данных «Бухгалтерия и кадры» школы №1»?
б) не имеет права запрашивать документы о выполнении школой №1 организационно-технических мер по обеспечению безопасности персональных данных в ИСПДн «Бухгалтерия и кадры» школы №1?
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
КОНТРОЛИРУЮТ:
РОСКОМНАДЗОР
ФСТЭК РФ – техническая защита конфиденциальной информации
ФСБ РФ – использование криптографических средств защиты информации
Почему Роскомнадзор?
В соответствии со ст. 23 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» Уполномоченным органом по защите прав субъектов Российской Федерации является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (Роскомнадзор).
С 1 января 2013 г. все организации и предприятия РФ (операторы персональных данных)
ОБЯЗАНЫ:
В соответствии с Постановлением Правительства РФ
№1119 от 1 ноября 2012 г.
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
1 раз в три года проводить Оценку эффективности принимаемых мер во исполнение п.17 ПП – 1119 «….контроль организуется оператором самостоятельно и(или) с привлечением организации, имеющей лицензию ФСТЭК РФ»
первая оценка должна была пройти в начале 2016 года
вторая оценка должна пройти в 2019 году
СУДЕБНАЯ ПРАКТИКА ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
КЛЮЧЕВЫЕ МОМЕНТЫ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
за последние 2 года.
Правительство РФ приняло постановление от 13 февраля 2019 г. № 146
«Об утверждении Правил организации и осуществления государственного
контроля и надзора за обработкой персональных данных»
Роскомнадзор получил право возбуждать административные дела напрямую, минуя прокуратуру.
Роскомнадзор выведен из под действия 294-ФЗ при надзоре за персональными данными и основные риски при контроле со стороны Роскомнадзора: «мероприятия систематического наблюдения»
(без взаимодействия с организацией)
Штрафы. Изменения в ст. 13.11 КоАП РФ
Обращение гражданина, в котором подтвержден факт нарушения его прав действием(бездействием) оператора, в соответствии с ст.14 – 17 ФЗ-152
Мероприятия систематического наблюдения ( без взаимодействия с оператором) с возможностью сразу составить протокол об административном правонарушении
Организация сможет о привлечении к ответственности узнать, только получив повестку в суд
План проверок Роскомнадзора на 2019 год
Систематическое наблюдение Роскомнадзора
Срок предоставления материалов по документарной проверке сокращен с 10 до 5 дней
Дополнительные документы оператор обязан предоставить всего за 3 дня
Если организация не предоставит документы за 3 дня, то документарная проверка превращается в выездную
СЕЙЧАС РОСКОМНАДЗОР ЗАПРАШИВАЕТ ОКОЛО 40-60 ДОКУМЕНТОВ
(400 документов = 2000 страниц)
Контроль Роскомнадзора (плановые проверки)
ОСНОВНЫЕ ПОНЯТИЯ в ч.1 ст.13.11 КоАП
«Персональные данные»
«Обработка» персональных данных
«Законодательство Российской Федерации в области персональных данных»
«Цели сбора персональных данных»
ГДЕ СУЩЕСТВУЮТ РИСКИ У ОРГАНИЗАЦИИ ?
152-ФЗ термины и определения
152-ФЗ термины и «понятия»
Позиция Роскомнадзора о понятии:
«персональные данные»
«..если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность.»
Персональные данные
в образовательной организации
Отдел кадров
Бухгалтерия
Приемная комиссия
Учебные подразделения колледжа (педагог – зам.директора – секретарь – общежитие – предприятие (стажировки) и т.д.)
Официальный сайт колледжа
ФИС «ЕГЭ», «ФРДО», «Электронный журнал»и т.д.
Обращения родителей, граждан, письма, запросы
Персональные данные
в образовательной организации
Работники - Работники педагогические
- Работники не педагогические
Учащиеся - Обучающиеся совершеннолетние
- Обучающиеся 14 лет и старше
- Обучающиеся до 14 лет
- Бывшие Обучающиеся
Бывшие работники - Уволившиеся до 5 лет назад
- Уволившиеся более 5 лет назад
- Ветераны училища на пенсии
- Ветераны колледжа-гордость колледжа
152-ФЗ термины и «понятия»
Обработка персональных данных
ОСНОВНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Федеральный закон от 27.07.2006г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»
2. Федеральный закон от 27.07.2006г. №152-ФЗ «О персональных данных»
3. Федеральный закон от 21.07.2014г. № 242-ФЗ «.. «о запрете хранения ПДн россиян за границей»
4. Постановление Правительства РФ от 13.02.2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»
5. Постановление Правительства РФ от 01.11.2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
6. Постановление Правительства РФ от 15.09.2008г. №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
7. Постановление Правительства РФ от 21.03.2012г №211. «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
8. Постановление Правительства РФ от 06.07.2008г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
Свойства защищаемой информации
Защищаемая информация
Общедоступная информация
Информация ограниченного доступа
152-ФЗ термины и «понятия»
152-ФЗ «О персональных данных»
ОСНОВНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8. Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных ( Приказ Роскомнадзора от 11.11.2011 №312)
9. Приказ Роскомнадзора от 19.08.2011г. №706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» (в редакции 2016г.)
10. Приказ Роскомнадзора от 15.06.2017 г. № 105 «Об утверждении перечня «адекватных стран»
ОСНОВНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Приказ ФСТЭК РФ от 15.02.2008)
12. Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (Приказ ФСТЭК РФ от 14.02.2008 г.)
13. Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
14. Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. №17 «Требования о защите информации, не содержащей государственную тайну, содержащейся в государственных информационных системах»
15. Методический документ. Меры защиты информации в государственных информационных системах. (Утверждено ФСТЭК России 11.02.2014г.)
16. Банк данных угроз безопасности информации. (Утверждено ФСТЭК России 06.03.2015 №240/22/879)
ОСНОВНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
17. Приказ Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (Приказ ФСБ РФ от 10.07.2014г. №378)
РЕКОМЕНДАЦИИ РОСКОМНАДЗОРА
1.По вопросам, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве
14 декабря 2012 года.
2. По вопросам отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки.
1 сентября 2013 года.
3.По вопросам применения приказа Роскомнадзора по обезличивании персональных данных
13 декабря 2013 года.
4. По вопросам заполнения формы Уведомления об обработке персональных данных
9 января 2016 года.
5. По вопросам обработки персональных данных в сети Интернет в соответствии с №242-ФЗ (баз данных)
декабрь 2016 года.
6. По вопросам составления документа, определяющего политику оператора в отношении обработки персональных данных в соответствии с ФЗ-152.
27 июля 2017 года.
И….
ИНОЕ ФЕДЕРАЛЬНОЕ ЗАКОНОДАТЕЛЬСТВО, РЕГУЛИРУЩЕЕ ВОПРОСЫ ПЕРСОНАЛЬНЫХ ДАННЫХ,
НАПРИМЕР:
Гл.14 ТК Российской Федерации «Защита персональных данных работника» ст.88 «Передача персональных работника»
Приказ Минобрнауки РФ № 36 от 23.01.2014 О порядке приема в СПО
Приказ Минздрава РФ №514н от 10.08.2017 «О порядке проведения профилактических медицинских осмотров несовершеннолетних»
Постановление Правительства РФ № 719 от 27.11.2006 Положение о воинском учете
Приказ Минобрнауки № 1383 от 27.11.2015 Положение о практике обучающихся..
Федеральный Закон от 07.08.2001 №115-ФЗ О противодействии легализации доходов
ЭТО ВСЕ НОРМАТИВНО-ПРАВОВЫЕ ДОКУМЕНТЫ,
КОТОРЫЕ ВЫ ДОЛЖНЫ РАЗМЕСТИТЬ В РАЗДЕЛЕ
«ПРАВОВЫЕ ОСНОВАНИЯ»
УВЕДОМЛЕНИЯ
КОНСТИТУЦИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
Право на частную жизнь
Статья 23.
Каждый имеет право неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, постовых, телеграфных и иных сообщений.
Ограничение этого права допускается только на основании судебного решения.
КОНСТИТУЦИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
Право на частную жизнь
Статья 24.
1.Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.
2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
КОНСТИТУЦИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
Право на частную жизнь
Статья 29.
4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом.
Цель сбора персональных данных
РАБОТНИКА – реализация трудовых
отношений
(значит передача списка работников в райизберком -нарушение – т.к. передача ПДн не связана с целью сбора)
ОБУЧАЩЕГОСЯ – предоставление среднего
проф.образования
(значит передача списка обучающихся на конкурс профессиональный конкурс-нарушение, т.к передача ПДн не связана с целью сбора)
152-ФЗ Принципы и условия обработки ПДн
(статья 5)
6. Обеспечение точности ПДн, их достаточность, актуальность по отношению к целям обработки
ПРИМЕР: Обновление данных о педагогических работниках на сайте колледжа
7. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки. ПДн подлежат уничтожению или обезличиванию по достижении целей обработки, если иное не предусмотрено федеральным законом.
ПРИМЕР: Отдел кадров хранит годами ПДн уволившихся вне Личного дела
Отсутствует уничтожение по истекшим срокам хранения (см.Приказ Минкульта №558)
Действия с персональными данными при обработке:
1. Сбор
2. Запись
3. Систематизация
4. Накопление
5. Хранение
6. Уточнение
7. Обновление
8. Изменение
9. Извлечение
10. Использование
11. Передача
12. Распространение
13. Предоставление
14. Доступ
15. Обезличивание
16. Блокирование
17. Удаление
18. Уничтожение
Больше всего нарушений:
1. Сбор
2. Хранение
3. Передача
4. Распространение
5. Уничтожение
Сбор персональных данных:
1. Работник
2. Родственник работника
3. Абитуриент
4. Обучающийся/родитель
5. Гражданин (Журнал пропуска в СПО)
5. Контрагент (гражданско-правовые договоры)
6. Соискатель
Сбор
Оператор обязан предоставить субъекту по его просьбе информацию об особенностях обработки ПДн субъекта по ч.7 ст.14 152-ФЗ.
Разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные
Если персональные данные получены не от субъекта персональных данных, оператор обязан предоставить субъекту персональных данных следующую информацию:
наименование либо фамилия, имя, отчество и
адрес оператора или его представителя
цель обработки ПДн и ее правовое основание
предполагаемые пользователи ПДн
установленные ФЗ РФ от 27.07.2006г. N152-ФЗ
«О персональных данных» права субъекта
источник получения ПДн
Хранение
1. Анкета соискателя ___
2. Заявление на материальную помощь ___
3. Личное дело обучающегося ___
4. График отпусков работников ___
5. Ученические билеты окончивших ПОО ___